敲黑板 劃重點 網絡安全體系的9大知識點都在這裡

文丨趙博智 編輯丨秦麗

來源丨首席數字官

在新基建浪潮之下，雲計算、大數據、物聯網、人工智慧為代表的新一代信息技術迎來了新一輪的蓬勃發展，給社會生產生活帶來革命性的轉變，信息技術已經深度融入人們日常生活之中，同時，隨著《網絡安全法》、《國家網絡空間安全戰略》等一系列法律及綱領性文件的頒布，網絡安全的重要性及地位也在不斷提升。

9月23日，錦囊專家、首席數字官聯合微軟中國以「構建內生安全體系，護航企業數位化轉型」 為主題特別打造網絡研討會，由錦囊專家創始人、數字產業創新研究中心秘書長李圓主持，邀請微軟企業服務大中華區Cybersecurity首席架構師張美波、康明斯中國投資有限公司 發動機事業部及製造IT總監張振、越秀地產信息安全負責人林冠、安永中國諮詢合伙人施建俊博士，作客直播間，針對安全問題展開了深度討論。

本文由【首席數據官】總結、提煉本次研討會議主講嘉賓的精華觀點編輯而成九大知識點，歡迎閱讀和分享。如想了解更多會議精彩，可登錄錦囊專家官網收看回放視頻。

知識點一：企業網絡安全的痛點與需求

林冠：首先是國家法律強制性要求，第二是網絡安全等級保護管理辦法2.0對企業的信息安全的監管要求。在風險方面，首先，企業網絡安全的痛點要先了解自身存在什麼問題，就需要對企業的網絡安全做整體的評估，同時對三方面進行持續加強：

1、安全管理方面：信息安全管理策略、標準和機構，安全制度和流程需不斷完善。

2、安全技術方面：對系統安全漏洞的檢測，對攻擊行為的監控，對用戶數據存的風險。

3、安全運維方面：計算、存儲、網絡、虛擬化、中間件、資料庫需要統一的監控與審計。

網絡安全是個管理體系，企業根據網安法和等保2.0結合自身的實際的業務進行落地，不是靠推硬體和殺毒軟體就能建立起來的，無論是根據ISO27001標準還是根據等保2.0的標準來實施，要做到事前預防、事中處理、事後追溯，要落地，企業一把手必須親自掛帥才能成功。

張振：近年來國家網安法和等保認證的要求成為公司合法合規在中國開展業務的基本前提。所有企業，尤其是外企必須重視。這也對公司的信息安全體系，組織架構，以及信息安全人才和技術提出更高的要求，是公司CIO 乃至業務最高層必須重視和優先對待的事項。

康明斯也在進行全價值鏈的數位化轉型，從產品， 客戶到供應鏈，製造和服務等業務，都在向數位化，移動化，互聯化，智能化演進，在傳統的信息安全之外， 又產生了更大的安全挑戰。

知識點二：企業數位化轉型過程中的網絡安全挑戰

施建俊：1.數據治理：隨著數位化轉型的不斷深入，數據量從TB到PB 到EB不斷增長，而數據的種類也越來越豐富，複雜性也越來越高，支撐的技術也在不斷演進。在這樣的情況下，企業需要清晰的知道數據到底在哪裡？流動方向是怎麼樣的？誰在用它？同時要對於敏感和重要的數據進行分類標識。而對於特別敏感的數據要精確到欄位級的控制，對於每個敏感屬性的欄位進行加密和脫敏。

2.資產邊界：傳統的信息安全視角下，信息資產僅硬體、人員、場地服務等方面，但新一代信息技術的發展，使得企業的數據資產數量激增，並隨著分析技術的不斷提升，很多原來不太敏感的數據集有可能轉變為成高敏感數據集。

3.基礎建設：近年來，國家所提出的數字新機械的思路給政府和企業在十四五當中帶來了前所未有的數位化轉型的機遇。但新技術新事物的引入過程中，政府和企業都必須對安全進行同步規劃，同步建設、同步運營。

4.隱私保護：企業在數位化轉型過程中，會出現多個應用場景涉及到個人信息。在個人信息保護方面，不但是安全問題，也是法律問題，對於個人信息保護原則的落實，要從設計之初進行充分考慮，不僅限於在應用界面上的感知，而要端到端的落地到業務邏輯乃至於在整個IT和數據運行環境中。

5.新興技術：新技術是把雙刃劍，它在給我們帶來數位化轉型便利同時也有可能引入新的風險。人工智慧技術的有效性依賴於算法和數據的質量和可靠性，如果所依賴的數據被惡意操縱，則人工智慧所得出的判斷結果也會有偏差；數據湖和數據中臺技術使企業可以很方便的獲取和利用數據，但在如何對敏感的數據進行識別和控制也是新的難題；在工業領域，工業網際網路的融合等等，使原本不太容易觸碰的網絡環境，都可能成為新的攻擊的對象；5G技術高帶寬、低延時的特性會催生新的應用場景，也會產生更高的數據量和對帶寬的要求。原來的邊界防護的安全技術如何充分應對；區塊鏈方面如果被黑客控制了大量計算資源並利用殭屍網絡對區塊鏈所依賴的密碼算法進行算力攻擊則有可能瓦解區塊鏈的安全性。

知識點三：微軟如何安全護航企業數位化轉型

張美波：1.加強與全球政府機構的合作：微軟和全球的政府機構保持長期持續的合作關係，今年3月，微軟聯合全球35個國家和地區的合作夥伴，通過司法與技術措施，一起大破全球最大殭屍網絡，而在7月份的時候，微軟遏制了一場針對62個國家和地區的全球性網絡欺詐活動。

2.領導全球網絡安全行業合作：微軟是全球網絡安全行業的領導者。「微軟智能安全聯盟」聯合了全球的重要網絡安全廠商，可全面保護企業的安全。同時微軟為更好的應對全球性的網絡攻擊行為，推出主動防禦計劃，聯合全球85個重要安全響應中心，快速應對安全威脅挑戰。

3.持續在安全研發方面投入巨資：微軟每年在安全產品研發方面投入超過10億美元，位居全球前列。

4.提供全球第一流的網絡安全產品和技術：微軟為企業客戶提供全球第一流的網絡安全產品和技術，目前身份驗證與訪問管理（IAM）、終端保護平臺（EPP/EDR）、統一終端管理（UEM）、雲訪問安全代理（CASB）、企業數據歸檔/存檔（EIA）等5項安全產品及服務位於 Gartner領導者象限。

知識點四：面對生產、運營、管理等數據激增，如何構建預測防範體系

林冠：這是關於數據安全和如何建立數據安全管理體系的問題，大部分地產公司都會存在管理規範不全、數據密級定義無標準、數據防洩密管控弱、數據合規無指引等痛點。

在管理方面：缺乏對公司商業秘密、個人信息等敏感數據分級分類和數據全生命周期管控明細指引，管理職責不清、數據安全建設目標模糊。

在技術方面：缺乏數據分級保護技術明細指引，未曾開展數據安全專項風險評估，難以循序漸進地構建全方位的數據安全技術管控體系。

在構建預測防範體系過程中，越秀地產踐行了3大目標：

1.合法合規 風險可控

依從法規：評估數據來源、價值、重要性、敏感度及合規風險，保障數據境內境外的合法合規（數據生命周期：採集-傳輸-存儲-處理-交換-銷毀，制定分級保護安全基線）。

符合監管：規避控股公司對上市主體，以及行業主管單位對上市主體的數據使用合規風險。

2.規範使用 敏感保護

分級分類：搭建數據分級分類標準體系，定義敏感數據資產。

過程管控：基於分級分類標準，與業務場景有效融合，設計數據生命周期管控流程，規範數據使用。

3.自主演進 釋放價值

藍圖實踐：依照數據安全建設的近、中、遠期藍圖，逐步落地管理和技術措施。

自主演進：自我賦能，自主有序開展數據安全各項工作，最終達到數據「存、管、用」安全可靠。

落實考核：滿足上級監管單位的數據安全考核要求。

張振： 1.在構建層面： 把網絡安全列為工業4.0體系框架的重要領域並成立專業團隊、重新規劃建設包括工業物聯網在內對新一代網絡架構、確保工廠內對所有設備入網的安全可靠。

2. 在應用層面：對所有應用系統進行網安法合規排查，並按緊要次序進行安全等保認證。

3. 在數據層面：康明斯通過與微軟的合作，加強了數據湖的安全架構設計，確保數據訪問和使用的安全。

知識點五：如何藉助AI和自動化技術為企業安全保駕護航

張美波：1、隨著安全攻擊技術的發展，企業所面臨的攻擊行為是不斷高度進化的，例如每年面臨新增的上億個惡意軟體。攻擊的針對方面也是不斷進化的，從系統平臺到應用服務，從網絡到數據，從IT到OT。這種情況下需要充分的藉助新型技術的力量來應對安全威脅的挑戰，例如安全大數據、AI、機器學習、雲計算和自動化技術等等。

2、對於企業而言，要靠自身去通過上述新技術實現安全防護能力比較困難，因此一方面需要藉助微軟等專業安全廠商的力量；另外一方面，僅購買外部的安全產品和服務遠遠不夠，如何在實際的企業環境下通過合理的部署和集成，真實的獲得相應的安全防護能力，也是非常考驗企業安全管理和領導者的能力。

3、對於專業安全廠商而言，對於新技術的應用和適配能力，以及自身所提供的安全產品和能力輸出變得非常重要。

施建俊：自動化技術的運用可以在兩個維度幫助到企業：

1.可以減少檢測和響應事件的時間，幫助企業最大程度地降低遭受攻擊的風險；當發現漏洞或合規異常時自動部署安全控制，以減少攻擊面；

2.通過自動執行勞動力密集型的任務來節約人力，幫助企業節約運營費用，例如可以將很多帳號權限管理、信息資產和敏感信息的管理、以及安全控制和安全開發的測試和跟蹤等。通過使員工專注於更高價值的任務，最大限度地減少由於缺乏挑戰或職業發展而導致的員工流失。

知識點六：如何利用企業威脅事件實現主動防範

張美波：這個問題的核心點是企業安全運營（或者SOC）的能力。對於安全運營而言，主要分為三個階段的安全能力：安全日誌/事件/信息的集中搜集、事件日誌數據/攻擊行為的分析/展現/研判、針對安全攻擊的響應/阻斷/恢復。

基本上來講，對於企業而言，需要思考在以上三個階段目前具備什麼能力，未來希望具備什麼能力，這樣才能更好的制定後續的發展目標和計劃。同時也需要和專業的安全廠商合作，充分的利用安全專業廠商的產品和技術來構建自身的安全能力。

施建俊： 企業面臨的潛在威脅事件除了依靠自身偵測和發現之外，還應該及時了解外部正在發生什麼，同行正在遭受什麼樣的威脅，這些威脅是否會影響到自己，是否已有經過驗證的手段能應對這些潛在威脅。這需要企業能通過適當的渠道及時了解與自身相關的威脅情報，並及時進行研判和採取預防措施。防範於未然是比救火更好的手段。

知識點七：數字信任的標準與實踐模型

信息安全管理體系（ISO27001），不僅只有通用的最佳實踐，也有基於行業和新興技術的實踐。

網絡風險管理框架（NIST CSF）是美國標準化組織推出的網絡安全的最佳實踐標準。從識別、保護、檢測、響應、恢復5個方面建立數字性的安全框架。

網絡安全基本要求（等級保護2.0）：國家網絡安全等級保護經過多年的發展，從針對信息系統本身的保護擴展為針對企業網絡空間的保護。在等級保護2.0的新版的標準當中融入了新一代信息技術帶來的額外的安全管控要求。

數位化轉型的信任構建

在數位化轉型過程中，信任的構建是業務和戰略的問題，企業首先要摸清家底，如信息資產、運營能力、管理能力、開發能力等方面，之後對數位化轉型的目標進行初步的預測，並基於預測分析不同業務場景的重要性，同時梳理目標狀態找到自身的缺陷和需求。明確自身的問題後，還要進行外部的調研，獲取同行的經驗教訓、業界標準規範、未來發展趨勢等。

知識點八：微軟針對網絡安全有哪些解決方案？

張美波：微軟推出的Microsoft 365是全面的智能安全集成解決方案，通過以下四個方面實現完善的、集成的企業網絡安全防護、控制和管理：

1.身份驗證與訪問管理：保護用戶身份驗證與憑據；基於用戶的風險級別動態控制資源的有效訪問（零信任架構）。

2.威脅保護與安全檢測：覆蓋全攻擊鏈的、實時的安全威脅監測。並且在受到威脅攻擊時，快速且智能應對威脅並快速恢復。

3.信息保護：全數據生命周期的安全管理與保護。確保企業中的文檔、信息、電子郵件只被合法訪問。

4.安全管理與監控：通過可視化工具，全面覆蓋、深入監控企業環境安全性，實現統一的安全態勢感知和策略管理。

微軟雲計算「零信任」架構

微軟是「零信任」的先驅，也是「零信任」的世界級領導者，微軟雲計算的零信任架構主要圍繞 Azure AD和Conditional Access，基於用戶的風險級別動態控制資源的有效訪問。

當用戶發起請求訪問時，會從多個維度評估用戶訪問的可信度、安全性和整體風險級別，例如通過Azure Identity Protection分析用戶訪問的上下文相關性，通過Intune和Defender ATP 評估設備層面的風險等，然後基於在Conditional Access中定義的企業統一的安全訪問控制策略來決定是否允許用戶訪問。

除此之外，微軟也具有針對雲計算時代的、龐大而複雜的安全戰略架構，如下圖所示：

Microsoft雲計算時代安全戰略架構

知識點九：快速簡單地提升企業整體安全水平的方法（如turn on MFA, System Center，重視日誌的保留和分析）

張美波：我先給大家一個幾乎是「零成本」的、而且可以快速提高整體企業終端安全防護能力的方法，就是使用Windows系統（包含伺服器系統和客戶端系統）例如Windows 10裡面內置的Windows Defender 殺毒軟體，而且保持默認設置。這個已經對終端提供了非常好的安全防護能力，就是缺少一個企業集中管理平臺而已，因為它的集中管理能力是通過我們的Defender ATP去實現的。

除了這個快速的方案之外，我的觀點是：

通常而言需要先識別企業的核心IT資產和保護目標，根據重要性決定保護的優先級，重要並緊急的事情優先做。在安全防護和加固層面，一是首先保護企業的身份驗證基礎服務和用戶憑據，保護特權帳戶和特權管理操作；二是保護核心數據資產，三是保護其他的被攻擊面。

在安全監測和響應層面，需要提高安全數據和狀態的可視化，強化安全審計、分析、監測和響應的技術和管理流程。加強對IT管理人員和用戶的安全意識教育，人是安全裡面最重要的部分，也是風險最高的部分。

林冠：「網絡安全始於心、安全網絡踐於行」，要迅速提升企業的安全管理水平，就要從董事長、CEO的層面從上而下落實，從公司的決策層行動起來，對企業自身存在的網絡安全問題進行深刻認知，分階段、分步驟、定目標去落地，具體責任落實到人，企業的網絡安全第一責任人就是公司一把手，把責任層層分解，把目標層層定義。然後才是技術體系的落地，管理+技術兩個抓手同步開展。

施建俊：提升企業整體安全水平最簡單和最省錢的方式是提升員工的安全意識，讓每個員工充分了解自己在企業安全中的責任、掌握必要的技能、了解企業的安全事件報告機制等，就可以起到事半功倍的效果。

【劃重點】
信息安全是綜合治理的過程，實施的措施由人、技術和流程三方面組成，制定完整的內生安全體系，不能一蹴而就，需要企業從一把手、CIO、一線人員的全體智慧和長時間努力。

作為企業的IT負責人，首先要對數據安全、網絡安全有自己的認知。其次要明白數據安全、網絡安全應如何做，並形成方法和體系。最後要主動規劃和預算，在基本建設上中進行相關投入，還要和企業的IT建設一樣有相關的制度和持續的機制，不斷進行優化提升，最重要的是要提升整體的安全意識。